24 jun NGINX corrige duas falhas que permitiam execução remota de códigos

A F5 lançou atualizações de segurança nesta semana para corrigir duas vulnerabilidades críticas no NGINX Open Source. As falhas podem permitir execução remota de código em sistemas vulneráveis, sem necessidade de autenticação por parte do invasor.

As duas vulnerabilidades afetam diferentes módulos do NGINX e receberam nota 9.2 na escala CVSS v4, considerada crítica. A primeira falha atinge o módulo ngx_http_v3_module, ela é classificada como use-after-free. Esse um tipo de bug que ocorre quando um programa tenta acessar uma área de memória que já foi liberada.

Produtos como NGINX Plus, Ingress Controller e Gateway Fabric também receberam atualizações de correção nesta rodada.

O problema acontece quando o NGINX Open Source está configurado para usar o módulo QUIC do protocolo HTTP/3. Um atacante remoto pode explorar a falha reabrindo um stream do encoder QPACK por meio de uma sessão HTTP/3 especialmente criada para esse fim.

A exploração só funciona em sistemas com o ASLR desativado. O ASLR é um mecanismo de segurança que randomiza o endereçamento da memória do sistema, dificultando ataques desse tipo. Isso porque, mesmo com o ASLR ativo, um invasor habilidoso ainda pode encontrar formas de contorná-lo.

O que é o CVE-2026-42055

A segunda falha é um heap-based buffer overflow, ou seja, um estouro de buffer na memória heap. Ela afeta os módulos “ngx_http_proxy_v2_module” e “ngx_http_grpc_module”.

Falhas anteriores em produtos F5, como o NGINX Rift, foram exploradas por criminosos poucos dias após a divulgação pública.

Para que a falha seja explorada, três condições precisam estar presentes ao mesmo tempo. A diretiva proxy_http_version precisa estar configurada como 2 ou o grpc_pass precisa estar em uso para proxy de tráfego HTTP/2. Além disso, a diretiva ignore_invalid_headers precisa estar desativada e o tamanho da diretiva large_client_header_buffers precisa ser maior que 2 MB.

Assim como na primeira falha, a exploração bem-sucedida depende de o ASLR estar desativado ou de o atacante conseguir contorná-lo.

Quais versões foram corrigidas

A F5 já disponibilizou correções para diversos produtos da linha NGINX. O NGINX Open Source recebeu patch nas versões 1.31.2 e 1.30.3, dependendo da versão instalada.

Outros produtos também foram corrigidos, incluindo NGINX Plus, NGINX Gateway Fabric, NGINX Instance Manager, NGINX Ingress Controller e as versões WAF e DoS do NGINX App Protect. A lista completa de versões afetadas e corrigidas está disponível no comunicado oficial da F5.

A F5 não confirmou exploração ativa das duas vulnerabilidades até o momento da publicação deste conteúdo.

Como se proteger enquanto não atualiza

Para quem ainda não conseguiu aplicar as correções, a F5 recomenda medidas de mitigação temporárias para cada falha.

No caso do CVE-2026-42530, a recomendação é desativar o suporte ao HTTP/3 no servidor. Já para o CVE-2026-42055, é preciso remover a diretiva ignore_invalid_headers off da configuração, ou então reduzir o tamanho da diretiva large_client_header_buffers para menos de 2 MB.

As duas falhas têm nota 9.2 na escala CVSS v4, valor considerado crítico e próximo do máximo da escala.

Histórico de ataques preocupa especialistas

A F5 não confirmou exploração ativa dessas duas vulnerabilidades até o momento. Ainda assim, falhas em produtos da empresa já foram exploradas repetidamente por criminosos no passado.

O caso mais recente aconteceu no mês passado. Outra falha crítica no NGINX Plus e no NGINX Open Source, identificada como CVE-2026-42945 e apelidada de NGINX Rift, começou a ser explorada ativamente poucos dias depois de sua divulgação pública.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.